Syllabus : Sécurité des applications web

Objectifs pédagogiques

• Identifier et reproduire les failles OWASP les plus fréquentes en environnement contrôlé.
• Mettre en œuvre des correctifs durables (paramétrage, design, code).
• Intégrer des contrôles dans un pipeline de revue et de tests.

Séquences

1. Séance 1 · 3 h

   Modèle de menaces web et HTTP approfondi

   Cookies, sessions, CORS, CSRF, same-site, en-têtes de sécurité.

   Activité : Audit d’en-têtes sur plusieurs sites de démo et tableau de synthèse.

2. Séance 2 · 5 h

   Injection et contrôle des entrées

   SQLi, NoSQLi, command injection, LDAP : mécanismes et défenses (requêtes paramétrées, validation).

   Activité : Lab DVWA / équivalent : exploitation puis patch proposé en pseudo-code.

3. Séance 3 · 5 h

   XSS, CSRF et logique métier

   Reflected/stored/DOM XSS, tokens anti-CSRF, failles d’autorisation (IDOR, forced browsing).

   Activité : Chasse guidée puis variante en binôme sur application vulnérable.

4. Séance 4 · 4 h

   AuthN / AuthZ et gestion des secrets

   OAuth2/OpenID aperçu, JWT piégés, stockage des secrets côté serveur.

   Activité : Analyse de configuration JWT défectueuse et correction.

5. Séance 5 · 4 h

   Upload, fichiers et SSRF

   Validation de fichiers, path traversal, SSRF et blind SSRF, défenses réseau.

   Activité : Scénarios courts en lab avec write-up attendu.

6. Séance 6 · 4 h

   Tests automatisés et revue sécurité

   SAST/DAST aperçu, revue de code ciblée « hot spots », checklists avant mise en prod.

   Activité : Passage d’un outil SAST sur repo de démo et tri des findings.

Évaluation

Labs 50 %, correctifs documentés 30 %, QCM OWASP / HTTP 20 %.

Prérequis

HTML/CSS/JS, un langage web (ex. Node, PHP ou Java), SQL de base.

Outils et environnement

• ·Burp Suite
• ·Navigateur + DevTools
• ·OWASP ZAP
• ·Environnement lab vulnérable